Nel terzo giorno del concorso di hacking Pwn2Own, i ricercatori di sicurezza hanno ricevuto premi per un totale di 185.000 dollari dopo aver dimostrato cinque exploit zero-day che colpiscono Windows 11, Ubuntu Desktop e il software di virtualizzazione VMware Workstation.
Ubuntu Desktop violato tre volte
Il sistema operativo Ubuntu Desktop è stato violato tre volte da tre squadre diverse, sebbene uno degli exploit fosse già noto in precedenza. I tre exploit zero-day funzionanti su Ubuntu sono stati dimostrati da Kyle Zeng di ASU SEFCOM (un bug double free), Mingi Cho di Theori (una vulnerabilità Use-After-Free) e Bien Pham (@bienpnn) di Qrious Security.
Premi per gli exploit zero-day
Mentre i primi due ricercatori hanno ricevuto ciascuno 30.000 dollari per i loro exploit zero-day, Pham ne ha guadagnati solo 15.000 a causa di una collisione di bug. Un sistema Windows 11 completamente aggiornato è stato nuovamente violato durante Pwn2Own, con Thomas Imbert (@masthoon) di Synacktiv (@Synacktiv) che ha guadagnato 30.000 dollari per un bug Use-After-Free (UAF).
VMWare Workstation violato da STAR Labs
Infine, il team STAR Labs (@starlabs_sg) ha utilizzato una catena di exploit basata su una variabile non inizializzata e un bug UAF contro VMWare Workstation, ottenendo un premio di 80.000 dollari.
Premi complessivi di Pwn2Own Vancouver 2023
Durante i tre giorni di Pwn2Own Vancouver 2023, i partecipanti hanno guadagnato un totale di 1.035.000 dollari e una Tesla Model 3, dimostrando 27 exploit zero-day. I vincitori della competizione sono stati Synacktiv, che ha guadagnato 530.000 dollari e una Tesla Model 3 per i loro exploit.
Patch e divulgazione di informazioni tecniche
I produttori avranno 90 giorni per correggere i bug zero-day dimostrati e rivelati durante Pwn2Own prima che l’iniziativa Zero Day di Trend Micro pubblichi le informazioni tecniche. L’anno scorso, durante Pwn2Own Vancouver, i ricercatori hanno ricevuto premi per un totale di 1.155.000 dollari dopo aver violato il sistema di infotainment della Tesla Model 3 e aver compromesso Windows 11, Microsoft Teams e Ubuntu Desktop utilizzando diversi bug zero-day e catene di exploit.